как записать всех кто залогинится на мои машины linux и записать их

495
maihabunash

Я установил аудит пакетов на моем компьютере с Linux Red-Hat 6.x, чтобы просмотреть записи каждого пользователя, который вошел в систему на моем компьютере с Linux.

yum install audit

Установка комплекта с: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sec-install_the_audit_packages.html

после установки и перезапуска службы аудита как

service auditd start

Я следую за файлом audir.log, чтобы увидеть записи пользователей

tail -f /var/log/audit/audit.log

но из этого журнала я вижу только IP-адреса пользователя и когда он входит в мою машину Linux

записи команды linux, которые пользователь выполнил не apperars в Audit.log

может какой-то один совет, почему мы не видим историю команды Linux в Audit.log ?

пример audit.log

type=USER_START msg=audit(1422876162.936:152): user pid=28114 uid=0 auid=0 ses=74236 msg='op=PAM:session_open acct="root" exe="/usr/sbin/sshd" hostname=10.1.113.35 addr=10.1.113.35 terminal=ssh res=s' type=USER_LOGIN msg=audit(1422876162.940:153): user pid=28116 uid=0 auid=0 ses=74236 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=10.1.113.35 addr=10.1.113.35 terminal=/dev/pts/1 res=success' type=USER_START msg=audit(1422876162.940:154): user pid=28116 uid=0 auid=0 ses=74236 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=10.1.113.35 addr=10.1.113.35 terminal=/dev/pts/1 res=success' type=CRYPTO_KEY_USER msg=audit(1422876162.940:155): user pid=28116 uid=0 auid=0 ses=74236 msg='op=destroy kind=server fp=99:c8:56:79:64:17:0b:67:b5:6c:e9:36:22:8a:b1:88 direction=? spid=28116 suid=0 ' type=CRYPTO_KEY_USER msg=audit(1422876162.940:156): user pid=28116 uid=0 auid=0 ses=74236 msg='op=destroy kind=server fp=6f:b9:bf:4f:84:1f:58:e5:d2:1c:94:1f:11:8e:26:61 direction=? spid=28116 suid=0 ' type=CRED_REFR msg=audit(1422876162.940:157): user pid=28116 uid=0 auid=0 ses=74236 msg='op=PAM:setcred acct="root" exe="/usr/sbin/sshd" hostname=10.1.113.35 addr=10.1.113.35 terminal=ssh res=success'
  • Замечание, если этот инструмент Audit не может делать записи каждого пользователя, пожалуйста, помогите мне найти другой инструмент, который может выполнять работу
1
[Эта ссылка] (http://superuser.com/questions/127454/run-script-on-logout-shutdown-ubuntu) показывает, как запустить скрипт при выходе из системы. Вы можете использовать это для записи файла истории команд, хотя это может быть неполным решением. В идеале вы хотели бы иметь модифицированную оболочку, но, поскольку пользователи могут вызывать другие оболочки, вам потребуются изменения, чтобы _все_ оболочки в системе. AFH 9 лет назад 0
Я погуглил ** аудит оболочки Linux ** и нашел [это полезное резюме] (https://administratosphere.wordpress.com/2011/05/20/logging-every-shell-command/). AFH 9 лет назад 0

0 ответов на вопрос

Похожие вопросы